引言:正如没有绝对富有或者绝对贫穷,网络安全供应商指出:没有绝对的网络安全。然而,某些网络安全专家们可能会说,唯一绝对安全的计算机必须切断电源,用" 混凝土" 来填充,并投放到海底。既然如此,企业的IT经理们怎样才能开发出一套行之有效的安全战略,既能保持网络安全性和系统性能,又不必耗费巨资呢?
前阵子,一个名为"MDropper",专门利用PowerPoint的特洛伊木马病毒,被发现" 粉墨登场" ,它已经感染了一些电脑,但是该病毒并没有波及所有领域,即通报中网络安全问题通常所涉及的领域。而几个星期之前,Fortinet公司已公开发表有关Microsoft Office重大漏洞的新发现,其中该漏洞是由PNG 过滤器导致的,微软并对此作了相关修正。
而Symantec发表了一个关于Window Vista的报告,该报告针对微软发布的下一主要操作系统中重新编写的" 网络协议栈(network protocol stack)" 提出了批评意见,指出:" 尽管微软公司确实发现并修正了联网代码这些问题,但我们仍希望在今后仍能不断找出漏洞。通常作为复杂软件体系的联网栈要历经数年才能真正成熟".
计算机和网络威胁的演变史
从表面上看,病毒、特洛伊木马、间谍程序以及其他形式的恶意代码软件将一直存在,网络普遍受到的安全威胁无法在短时间内有所好转。目前面临的挑战,并非仅仅让企业主和高层管理人员坚信他们确实需要一个可行的网络安全策略,而是需要找到一种解决方案,既能够充分节约成本和利用有限的资源,又能有效地解决网络安全问题。
就在几年前,大部分公司所使用的安全策略,主要是由网关处设立的防火墙以及每个台式电脑、手提电脑上安装的防病毒程序组成。而今,网络管理员还需兼任网络安全指挥官,通过在防火墙上设置一系列有效规则来实施安全策略,以有效阻止大多数电脑黑客的入侵。然而从那时开始,计算机和网络威胁的实质开始迅速转变。
当今的网络威胁充分利用了常用服务(如电子邮件),作为恶意软件的传输载体。网络蠕虫和病毒目前还有其他一些特性:如Melissa 蠕虫病毒本身带有一个邮件引擎,该引擎可以复制邮件本身并将其发送给感染此类病毒的计算机通讯录中的所有用户。诸如之前提到的MDropper最新病毒目标更加明确,这表示黑客以及攻击者开始集中于一系列目标,而不再毫无选择的攻击更多的机器。
随着各种攻击方式的涌现,单纯的防火墙已无法满足防御需求。目前的企业通常会在邮件服务器上部署防垃圾邮件(anti-spam)软件,进行入侵探测,以及阻止非法用户登录网络等。如今的防火墙已集成更多先进技术,如信息包深入检测技术(deep packet inspection),可通过查看网络流的内容来纠出恶意软件;现在台式电脑和手提电脑上安装的防间谍软件以及私人防火墙主要是增大防病毒软件的防护功能。安全软件以及系统的多样化和宽泛性带来了一个新挑战,那就是" 易管理性".
对多样化的有效管理
为了具体说明提升" 易管理性" 所面临的挑战,我们可以假定某公司有10台计算机,每台机器都安装了防病毒软件以及单独的防火清;如果目前只有一个网络管理员,如果要为每台机器都下载更新该月最新的病毒库(尽管事实上不可能),则需要花费很长一段时间。设想一下,如果该公司有50台计算机,甚至100 台计算机,那工作量将不可思议!如此工作很快就会变得行不通。而如果将下载更新病毒库的任务转交给其用户,任何经验丰富的系统管理员都会告诉你,这更不现实,因为大多数非专业用户会感觉很麻烦。
另一个问题便是技术方面的要求。目前,大多数网络管理员对TCP/IP以及基本的防火墙或者信息包过滤技术至少有一个基本的了解。然而,我们必须保护企业免受来自邮件或者短消息客户端、甚至内部人士访问非法网站所导致的病毒和恶意软件攻击;管理员需要懂得如何配置信息过滤,如何通过关闭不使用的或是易受攻击的端口来保护服务器,安装并配置防垃圾邮件软件以及防范垃圾邮件引擎等。大型企业或许有资源、人力以及内部技术来实现以上需求,但是中小型企业就可能无法实现,而黑客侵入只需找到安全策略中某些被忽略的局部漏洞就够了。
如此说来,中小型企业就无计可施,只能坐以待毙、等待黑客攻击么?相反的,大型企业只要有巨额预算和充足人力就能轻松应对黑客、高枕无忧么?
如果安全策略只是简单的安装更多的防火墙和防病毒软件之类的问题,那么中小型企业势必始终处于劣势,而大型企业将无与匹敌。这显然很荒谬,因为这是把安全看成了一门学问,而实际上它更是一门艺术。
无论网络安全供应商如何推崇其产品,绝对安全可靠的网络并不存在 -只是网络容易受到攻击或者很难受到攻击。如果黑客技术足够过硬,时间足够充足,再好的防火墙、再优秀的软件都有可能发挥不到作用。另一方面,一个经过周密考虑和部署的安全系统,完全可以为大多数公司提供充足防护,一旦发现非法侵入,即可做出适当响应,从而可以长期有效地阻止黑客攻击。
安全源于某种策略,而非某种产品
探究安全策略的第一步,便是弄清楚所要保护的对象。公司是否在运行着文件服务器、邮件服务器、数据库服务器?贵公司的核心数据有多少,存储在哪里?目前亚洲地区仍有相当多的公司,手工将关键数据存储在工作簿或账簿上。如果贵公司的计算机通常只是用来文字处理,或者是玩游戏,那数据可能根本不值得去保护。然而,如果贵公司保存有大量的敏感信息,例如信用卡号码或者财务往来交易事项,那么贵公司所需要的安全等级将会很高。
第二步是弄清楚公司的限制条件:每年预算多少经费用于支付安全策略?可以购买什么?是一个入门级常用的防火墙还是一个拥有多种特性的防火墙?另外一个限制条件是时间:贵公司还有多长时间来实现在线系统的安全?如果时间很短,可能要考虑外购其他公司的网络安全配置。技术以及人力资源也是需要考虑的关键因素。如果没有相关技术人员来维护内部安全系统,贵公司会考虑员工接受培训或是聘请专家吗?
此外,很重要的一步便是在功能性和安全性方面做出选择。贵公司网络必须提供的服务有哪些:邮件、网页、数据库?该网络真的需要即时消息么?通常,网络提供的服务越多,该网络便越容易受到攻击,原因是入口点更多。因此,关闭所有不需要的服务并限制开放端口的数量始终是一个不错的办法。
某些情况下,贵公司拥有什么并不重要,重要的是怎么利用它。相对于将整个预算花在一个" 花架子" 似的防火墙上,实现多层防御是一个很不错的策略。尽管如此,我们还是有必要去查看一下整个网络,并弄清楚如何划分才会非常好的。
针对网络受到非法攻击以及病毒爆发,网络管理员还需做好准备工作。目前的设备能够做好足够的日志么?路由器、防火墙或者系统日志服务器能够告诉我们,非法侵入的时间和手段?是否有一个适当位置可以用来恢复?如果受到攻击的服务器需要擦除并重新配置,能尽可能减少关键数据的流失,并快速实现么?
这将有利于紧盯最新威胁和病毒的爆发,明察方法和技术的细微进步,有效保护网络和计算机。网络安全,在很多方面和20世纪后半叶冷战时期的军备竞赛类似。对于每一个新的威胁,必须找到一种新的反击策略,很多时候,反击策略需要不断发展。而今,你或许可以预见威胁或者及时的使用新方法去堵住漏洞或反击入侵者。
统一威胁管理-未来的潮流
一些安全产品供应商已经开始寻找新途径,以解决网络上复杂多变的病毒、蠕虫、特洛伊木马和各种混合型威胁。统一威胁管理器(UTM)产品是一种特殊的硬件"装置" ,它把所有重要的安全功能集成起来,比如防火墙、反病毒、入侵防护等,形成一个专门产品。这种产品的显著优势是它的综合安全功能。
理论上,它能在网关阻止病毒、特洛伊木马以及各种威胁方式,甚至一些比如兜售广告的威胁等。这就涉及到刚才所提到的" 易管理性" 了,因为在客户机和手提电脑上升级安全软件的需求并不是太重要和紧迫。另一个好处是许可费用,因为一些UTM 供应商并不收取个人客户机或单线路许可的费用。当然,这一点你需要提前找UTM 供应商核实。
市场上UTM 供应商的数量越来越多。一些产品不过是些安装了防火墙、反病毒和尽可能多的安全软件的日常计算机。在高信息流量环境下,这种方法并不理想,因为背后操作系统的运行,硬件和软件会使网络平台的运行极其缓慢。这会造成一种误解,即UTM 产品难以扩展,无法达到电信公司、服务供应商和金融机构的要求。
但是一些供应商,比如Fortinet公司,利用专门的硬件可有效降低主CPU 的负荷,解决了性能和扩展性方面的问题。这一方式很像那种高端图形显示卡,即通过扩展处理器功能,使显示性能达到较高水平。Fortinet的UTM 生产线和FortiGate 系列产品,甚至包括针对电信公司和服务提供商市场的产品。
UTM 设备的一般买主已经不仅限于小企业和大学了。现在,Fortinet宣称其FortiGate 系统已部署在金融机构、政府机构、银行、甚至通讯公司。在印度,一些产品已部署到CNBC-TV18 和Spice 电信公司。
